[Secui Bluemax]방화벽 도메인 객체 활용

방화벽의 도메인 객체 활용

• Secui를 비롯한 대부분의 방화벽은 허용 혹은 차단 정책에 도메인 객체를 적용할 수 있음
• 허용 혹은 차단 정책에 IP를 기입하면 기입된 IP만을 허용하거나 차단할 수 있음
• 도메인 객체를 적용하게 되면 허용 혹윽 차단 정책의 출발지 혹은 목적지에 IP가 아닌 도메인이 적용되며 도메인 쿼리에 반환되는 IP를 정책에 활용함
• 도메인 객체를 사용하게 되면 도메인 쿼리에 의해 반환되는 IP를 정책 적용에 활용할 수 있으므로 IP가 주기적으로 변경되는 출발지 혹은 목적지에 대해 즉각 대응할 수 있음
• 다시 말해 변경된 IP에 대해 허용 혹은 차단 정책을 적용할 수 있으므로 원활한 허용 / 차단 제어가 가능해짐

 

도메인 객체의 IP 수집 및 관리

• Secui 방화벽이 도메인 객체의 IP를 수집하는 방법은 3가지가 있음
  1. DNS Packet Snipping : 방화벽에 허용된 정책을 통해 통과되는 패킷 중 DNS Response 패킷을 읽고 IP를 수집하는 방식
  2. DNS 서버 설정 : DNS 서버를 지정하여 관리자가 설정한 주기에 따라 DNS 쿼리를 요청하여 IP를 수집하는 방식
  3. Domain Agent : DNS 서버를 향한 쿼리만을 담당하는 Agent를 별도 설치, 방화벽에 배포하는 방식
• DNS Packet Snipping 방식의 경우, 방화벽 정책에 설정된 도메인 객체의 IP만을 수집함
• 도메인 객체의 IP가 수집되면 정책 적용을 담당하는 Daemon이 이를 정책에 반영함
• "fw show srule" 명령어를 통해 반환된 IP의 정책 적용 여부 확인 가능
• DNS 응답 패킷에 있는 TTL 값을 초과한 IP에 대해서는 삭제 작업을 실시함(혹은 사용자가 설정한 시간 초과시)

 

도메인 객체 명령어

• Secui Bluemax 방화벽의 도메인 정보 확인 CLI 명령어는 다음과 같음
• Secui MF2 방화벽의 경우, "dynamic_obj show domain all"을 입력시 확인 가능
  • 특정 도메인 검색시, "dynamic-obj show domain all | grep -A 20 "도메인"

1. domain show domain all
- 사용중인 모든 도메인 객체에 대한 정보를 표시하는 명령어
- IP, IP Type, Uptime Time, TTL, Expiration Time 기재
- IP Type 정보 중 "Dynamic"은 DNS Response 쿼리를 통해 수집한 IP를, "Static"은 사용자가 직접 지정한 IP를 의미함

2. domain show config
- 도메인 객체 관련 설정을 확인할 수 있는 명령어
- DNS 쿼리 수집 주기, 도메인 객체의 최대 IP 보유 가능 수, 만료 시간 등을 정의